當(dāng)今���,全球數(shù)字化轉(zhuǎn)型加速��,企業(yè)IT正處于變革中,企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的目的無非是與客戶溝通更密切��、更契合,且能賦能員工�、優(yōu)化運(yùn)營,同時(shí)改良企業(yè)的產(chǎn)品和服務(wù)���,這就帶來了更多的SaaS應(yīng)用���、移動(dòng)互聯(lián)網(wǎng)應(yīng)用、物聯(lián)網(wǎng)的應(yīng)用��、云上的應(yīng)用等��,信息技術(shù)層出不窮����,企業(yè)的邊緣大大拓寬,要保護(hù)的對象激增�����,數(shù)字化威脅變得越來越復(fù)雜�����。
去年以來���,微軟頻繁被國內(nèi)網(wǎng)絡(luò)安全從業(yè)者關(guān)注���。去年1月�����,微軟宣布在2020年的安全業(yè)務(wù)收入達(dá)到100億美元�,年增長率超過40%��;6月����,微軟正式發(fā)布Windows 11,特別提到Windows 11提供了一個(gè)“零信任安全防護(hù)模式”的操作系統(tǒng)�����,來保護(hù)數(shù)據(jù)和跨設(shè)備訪問��;7月��,微軟正式發(fā)布Windows 365��,再次提及Windows 365服務(wù)遵從“零信任”原則,從設(shè)計(jì)源頭確保安全����。
歷經(jīng)三個(gè)階段��,微軟安全與時(shí)俱進(jìn)
事實(shí)上�,微軟的安全業(yè)務(wù)從2003年發(fā)布Windows XP和Windows Server,使用威脅模型開始��,微軟產(chǎn)品的安全性就大幅提升�。
安全開發(fā)生命周期 (SDL)是微軟的計(jì)劃和強(qiáng)制施行政策,其核心理念就是將安全考慮集成在軟件開發(fā)的每一個(gè)階段:需求分析���、設(shè)計(jì)�、編碼�����、測試和維護(hù)�����。從需求�����、設(shè)計(jì)到發(fā)布產(chǎn)品的每一個(gè)階段每都增加了相應(yīng)的安全活動(dòng)與規(guī)范,以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度����。SDL是側(cè)重于軟件開發(fā)的安全保證過程,旨在開發(fā)出安全的軟件應(yīng)用�。
STRIDE安全威脅模型是由微軟提出的一種系統(tǒng)化的威脅建模方法。STRIDE代表六種安全威脅:身份假冒(Spoofing)���、篡改(Tampering)����、抵賴(Repudiation)�����、信息泄露(Information Disclosure)��、拒絕服務(wù)(Denial of Service)���、特權(quán)提升(Elevation of Privilege)����。STRIDE模型可以讓用戶洞察所需的抑制措施的本質(zhì),使用預(yù)構(gòu)建的威脅樹可以確保不會(huì)忽略已知的攻擊��。
在近日舉辦的微軟安全媒體采訪活動(dòng)上���,微軟全渠道事業(yè)部首席技術(shù)官(CTO)徐明強(qiáng)博士對此進(jìn)行了詳細(xì)介紹�����。徐明強(qiáng)博士表示,微軟有一個(gè)安全審核部門�����,成員分布在每一個(gè)產(chǎn)品部門中�,當(dāng)產(chǎn)品有安全問題時(shí),安全審核部門的成員有一票否決權(quán)����。因此可以說,微軟的產(chǎn)品從設(shè)計(jì)階段就是安全的���,即Security by Design����。
到了移動(dòng)時(shí)代,微軟服務(wù)的地理足跡遍布60多個(gè)地區(qū)���,微軟安全首先要做的是“勤商”����,積極應(yīng)對每一次的安全法規(guī)更新��。微軟還專門設(shè)立了網(wǎng)絡(luò)防御運(yùn)營中心�,擁有多達(dá)8500名的全職安全專業(yè)人員為平臺(tái)、工具�、服務(wù)及終端設(shè)備提供不間斷的安全保護(hù)。微軟智能云每天處理和分析超過 24 萬億的安全信號(hào)數(shù)據(jù)��,每年在網(wǎng)絡(luò)安全投資 10 億美元��,且在未來5年投資還將超過 200 億美元�。在合規(guī)認(rèn)證數(shù)量方面,微軟智能云在全球擁有100多項(xiàng)合規(guī)認(rèn)證�,具備完善的合規(guī)認(rèn)證體系。在中國����,由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure 也獲得了諸多本地合規(guī)認(rèn)證,連續(xù)多年通過 ISO/IEC 20000����、ISO/IEC 27001��、ISO/IEC 27018 系列認(rèn)證���,連續(xù)多年通過信息系統(tǒng)安全等級保護(hù)三級評測,全面覆蓋 IaaS�、PaaS、SaaS云服務(wù)����。
從2018年開始���,“零信任”安全架構(gòu)逐漸成為網(wǎng)絡(luò)安全的主流框架���,微軟也關(guān)注到端到端集成防護(hù)對安全的價(jià)值,并開始構(gòu)建全方位立體的微軟安全戰(zhàn)略架構(gòu)��。
徐明強(qiáng)博士將這個(gè)階段的安防部署比喻為“家庭防盜系統(tǒng)”:首先要建立外圍和室內(nèi)房門隔離����,即虛擬網(wǎng)絡(luò)、VPN 網(wǎng)關(guān)�����、網(wǎng)絡(luò)安全組、HubSpoke 架構(gòu)�。然后關(guān)閉窗戶、只保留大門通道����,即Azure Bastion。此外�����,還要加強(qiáng)大門防御�����,即WAF����、Firewall、DDoS��,將貴重物品放入室內(nèi)�����,即Private Link,再放入保險(xiǎn)箱���,即Key Vault�����。之后建立智能安保監(jiān)控����,即Defender for Cloud+ Sentinel�����,和片警建立日常聯(lián)系和巡邏�����,即Azure Monitor+ Backup�����,并加強(qiáng)主人身份����、客人身份識(shí)別和保護(hù),即Azure AD Premium��。
微軟本著“對威脅的防護(hù)����、對身份的防護(hù)、對信息的保護(hù)”三個(gè)原則�,整合了超過 40 種云安全服務(wù),涵蓋身份和訪問管理���、威脅保護(hù)�����、統(tǒng)一終端管理����、信息保護(hù)�����、云安全管理五大部分�����,鑄成了微軟的“安全盾牌”。在 Garter 魔力象限五項(xiàng)評選——訪問管理�、云訪問安全代理、企業(yè)信息歸檔��、終端防護(hù)平臺(tái)���、統(tǒng)一終端管理工具中���,微軟的安全產(chǎn)品均處于領(lǐng)導(dǎo)者象限。
全方位��、立體式的安全防護(hù)
云計(jì)算時(shí)代�����,微軟構(gòu)筑了全方位的��、立體的�����、端到端的安全戰(zhàn)略架構(gòu)��?��!叭轿弧敝傅牟粌H是客戶端�����、企業(yè)私有云端��,還包括公有云端�����,IoT��,Windows客戶端�,Mac客戶端��,各種SaaS服務(wù)中信息訪問����、身份訪問,以及安全運(yùn)營中心��?��!傲Ⅲw”是指通過安全中心和機(jī)器學(xué)習(xí)等技術(shù)�,將各種各樣的數(shù)據(jù)集成在一起,通過安全通信對數(shù)據(jù)進(jìn)行立體的防護(hù)����。
值得注意的是,微軟正在穩(wěn)步進(jìn)入零散的安全技術(shù)市場�,許多核心安全產(chǎn)品(如 Windows Defender)是嵌入或者緊密集成在核心應(yīng)用套件當(dāng)中的,因此客戶購買微軟的安全功能非常方便����。微軟也正在將“原生安全性”的概念擴(kuò)展到云端,云計(jì)算和 AI/機(jī)器學(xué)習(xí)技術(shù)的長期發(fā)展�����,將推動(dòng)微軟成為更加先進(jìn)的安全技術(shù)供應(yīng)商��。
